韓國首爾大學網絡安全學院的研究人員近日介紹了一種名爲 CASPER 的新型隐蔽通道攻擊,這種攻擊能以每秒 20 比特的速度将數據從嚴加隔離的計算機洩漏給附近的智能手機。
CASPER 攻擊利用目标計算機内部的揚聲器作爲數據傳輸通道,以傳輸人耳聽不到的高頻音頻,并将二進制或摩爾斯電碼傳送到最遠 1.5 米開外的麥克風。
接收端麥克風可以位于攻擊者口袋内錄制音頻的智能手機中,也可以位于同一房間的筆記本電腦中。
研究人員之前已經開發出了利用外部揚聲器的類似攻擊方法。然而,在關鍵環境中使用的嚴加隔離、使用獨立網絡的系統(比如政府網絡、能源基礎設施和武器控制系統)不太可能有外部揚聲器。
另一方面,提供音頻反饋(比如開機蜂鳴聲)的内部揚聲器仍然被認爲必不可少,因此它們通常存在,從而使它們成爲攻擊者眼裏更好的選擇。
感染目标
與幾乎所有針對使用獨立網絡的計算機的秘密通道攻擊一樣,可以實際訪問目标的非授權員工或隐秘入侵者必須先用惡意軟件感染目标。
雖然這種情況似乎不切實際甚至遙不可及,但過去有人多次成功實施了這類攻擊,其中有名的例子包括 Stuxnet 蠕蟲攻擊伊朗在納坦茲的鈾濃縮設施、Agent.BTZ 惡意軟件感染了一個美國軍事基地,以及 Remsec 模塊化後門從嚴加隔離的政府網絡偷偷收集信息長達五年之久。
惡意軟件可以自動枚舉目标的文件系統,找到與硬編碼列表匹配的文件或文件類型,并企圖洩露文件。
現實中更有可能發生的是,它可以記錄擊鍵内容,這更适合這種緩慢的數據傳輸速率。
惡意軟件會将要從目标中竊取的數據編碼成二進制或摩爾斯電碼,并使用頻率調制通過内部揚聲器來傳輸,從而獲得在 17 kHz 至 20 kHz 範圍内難以察覺的超聲波。
圖 1. CASPER 攻擊示意圖 (圖片來源:韓國首爾大學)
試驗結果
研究人員使用一台基于 Linux(Ubuntu 20.04)的計算機作爲目标,使用三星 Galaxy Z Flip 3 作爲接收器,對描述的模型進行了試驗,并運行一款采樣頻率高達 20 kHz 的基礎記錄器應用程序。
在摩爾斯電碼試驗中,研究人員将每比特長度設置爲 100 毫秒,并使用 18 kHz 作爲點、使用 19 kHz 作爲破折号。智能手機放在 50 厘米開外的地方,能夠解碼所發送的單詞 "covert"(意爲 " 隐蔽 ")。
在二進制數據試驗中,每比特長度設置爲 50 毫秒,以 18 kHz 的頻率傳輸 0、以 19 kHz 的頻率傳輸 1。50 毫秒的開始 / 結束位也以 17 kHz 的頻率傳輸,以表明新消息的開始。
圖 2. 通過生成的聲音頻率傳輸的數據 (圖片來源:韓國首爾大學)
從進行的測試來看,接收器的最大距離爲 1.5 米(4.9 英尺),使用 100 毫秒的每比特長度。
但從試驗的總體結果來看,每比特長度對誤碼率有影響。當每比特長度爲 50 毫秒時,可以達到 20 比特 / 秒的最大可靠傳輸比特率。
圖 3. 誤碼率計算(圖片來源:韓國首爾大學)
按此數據傳輸速率計算,惡意軟件可以在大約 3 秒内傳輸一個典型的 8 個字符長度的密碼,并在 100 秒内傳輸一個 2048 位 RSA 密鑰。
任何超過此值的數據(比如 10 KB 的小文件)都需要一個多小時才能從嚴加隔離的系統中洩露出去,即使在理想的條件下、傳輸過程中沒有出現中斷。
韓國首爾大學聲稱:" 與使用光學方法或電磁方法的其他隐蔽通道攻擊技術相比,我們的方法傳輸數據的速度較慢,因爲通過聲音傳輸數據的速度有限。"
解決低數據速率的方法是改變多路同時傳輸的頻帶;然而,内部揚聲器隻能生成單一頻段的聲音,因此這種攻擊實際上受到了限制。
研究人員分享了抵禦 CASPER 攻擊的方法,最簡單的方法是從關鍵任務計算機上移除内部揚聲器。
如果這麽做不現實,防禦者可部署高通濾波器,将所有生成的頻率保持在可聽見的聲譜内,從而阻止超聲波傳輸。
如果你對針對嚴加隔離的系統的其他隐蔽通道攻擊感興趣,不妨參閱 COVID-bit(https://www.bleepingcomputer.com/news/security/air-gapped-pcs-vulnerable-to-data-theft-via-power-supply-radiation/),它使用電源裝置(PSU)生成傳輸數據的電磁波。
類似攻擊的其他例子還有 ETHERLED,它依靠目标網卡的 LED 燈來傳輸摩爾斯電碼信号,以及 SATAn,它使用 SATA 電纜作爲無線天線。
